前兩天家裡的網斷斷續續,發現有人在用arp欺騙,其實真正碰到有人在攻擊的幾率不大,大部分原因都是有人在用win下的諸如“P2P終結者”這樣的軟件導致的。再怎麼bs那人也是沒有用的,問題還是要解決,win下倒是好辦,現成的軟件多的是 ,linux下面就要自己動手了^^.
arp欺騙的原理不多述,基本就是利用發 送假的arp數據包,冒充網關。一般在網上通訊的時候網關的IP和MAC的綁定是放在arp 緩存裡面的,假的arp包就會刷新這個緩存,導致本該發送到網關的數據包發到了欺騙 者那裡。解決的辦法就是靜態arp.
假設網關的IP是192.168.0.1,我們要 先得到網關的正確MAC,先ping一下網關:
ping 192.168.0.1
然後運行arp查看arp緩存中的網關MAC: localhost~$ arpAddress HWtype HWaddress Flags Mask
Interface192.168.0.1 ether 00:12:34:56:78:9A C eth0
這裡得到的網關MAC假定 為00:12:34:56:78:9A,C代表這個綁定是保存在緩沖裡的,我們要做的就是把這個IP和 MAC靜態的綁定在一起,首先建立/etc/ethers文件,輸入以下內容: 192.168.0.1 00:12:34:56:78:9A
保存退出,之後便是應 用這個靜態綁定: localhost~$ arp -f 再運行arp查看: localhost~$ arpAddress HWtype HWaddress Flags Mask
Interface192.168.0.1 ether 00:12:34:56:78:9A CM eth0 多了個M,表示靜態網關 ,OK收工~
另外,如果你不會和局域網內的用戶通訊的話,那麼可以干脆 把arp解析關掉,假定你的網卡是eth0,那麼可以運行: localhost~$ ifconfig eth0 -arp
這樣對付那些終結者軟件就可以了,但是真的有人想攻擊的話,這樣還是不夠的,因為攻擊者還可以欺騙網關,解決的辦法就是在網關和 局域網內機器上做雙向綁定,原理方法同上,一般網吧裡面也是這樣做的